В настоящее время у нас есть старый токен RSA - среда Radius, которую мы хотим заменить
Возможна ли такая архитектура?
(это работает, есть примеры в Интернете) Linux-сервер Google Authentication Fee radius сервер
Теперь новая часть: список пользователей будет извлечен из активного каталога, на сервере Linux будет токен аутентификатора Google (сгенерированный вручную)
Или мы должны просто создать пользователей с одинаковыми именами вручную?
Да, это должно быть возможно с totpcgi и freeradius, хотя мы сделали это не против AD, а против FreeIPA. Мы используем эту настройку на наших устройствах Cisco VPN, и пользователи проходят аутентификацию, используя свое имя пользователя и пароль + токен (то есть такое же поведение, что и токены RSA).
Я хотел бы получить больше информации о том, насколько хорошо это работает для других, особенно если кто-то может предоставить документацию о том, как отказаться от инфраструктуры RSA на totpcgi в гетерогенной среде Linux-Windows. :) Наша основная цель до сих пор заключалась в том, чтобы реализовать его для серверов Linux.